至少在10年前,随着高级持续性威胁(APT)和有针对性的情报利用和共享的重要性也已经普遍得到各行各业的认可。因为在网络空间的非对称战争中,防御方要想占据上风,就必须依靠情报共享,最大限度地降低防御成本,成倍增加攻击方的成本。然而,各国推进情报共享的进程并不顺利,网络安全领域到处都留下“信息共享倡议”的残骸。就连美国研发多年的ISAC(InformationSharingandAnalysisCenter)系统,在国内也遭到质疑。在今年的RSAC大会上,全球最重要的情报共享组织之一网络威胁联盟(Cyber??ThreatAlliance)的CEOMichaelDaniel发表了主题演讲《错误的假设:为什么情报共享失败》,从网络威胁的角度给出了自己的看法。一位经验丰富的情报分享实践者解答。情报共享成为攻防对抗取胜的“关键”。三大误区制约发展进程。在丹尼尔看来,情报共享之所以受挫,是因为该领域一直存在三个错误的假设:1.认为网络威胁情报是一种现实,目前情报的发展已经脱离了文件阶段,IP,和域名声誉长期。从情报价值来看,更重要的是恶意属性、缓解措施、攻击意图和技术数据背后的业务风险。战术、组织能力、背景等信息,单纯的非黑即白的判断,在安全运营中价值不大。这一点对于情报界来说可能很清楚,但在更广阔的市场中,了解战术、作战和战略情报在不同层面的内容和价值的人并不多。2、所有组织都应该共享这些数据的想法的现实将使这个假设站不住脚:首先,许多公司不具备情报分析和生产能力,因此很难提供与自己的行业和网络相关的信息;其次,不同的行业(或地区、公司)规模)不同,因此威胁的相关性和要求也不同,相互分享所能获得的价值非常不确定;再次,从使用的角度来看,如果智能是为了支持决策,那么一个企业其实做的安全决策是很少的。支持这些决策的情报信息正是企业的比较优势所在。3.认为组织间的共享渠道会很容易共享。事实上,高质量的情报分享需要更多的保障:信任、金钱、时间和关注。首先,需要相信共享的接收者能够妥善处理情报,而且这种信任必须随着时间的推移而增长;第二,免费情报可能不错,但还不足以解决问题。只有通过资本投资来保证回报,才能保证足够的价值;最后,分享活动需要稳定的人力投入和关注度,否则很难持续下去。360助力突破智能共享困境为数字时代的腾飞保驾护航传统业务环境与架构系统完成迭代升级。与此同时,安全威胁无处不在,无孔不入。其中,高级持续性威胁(APT)具有定向性、长期持续性、隐蔽性等攻击特点,安全人员使用传统检测手段无法识别和发现,因此情报共享显得尤为重要。作为数字经济的守护者,360政企安全集团基于15年的攻防实战经验和230亿的安全研发投入,打造了以360安全大脑为核心的数字安全能力体系,有效解决情报共享问题。首先,政企安全团队意识到,传统的威胁情报平台(TIP)仅用于威胁情报的聚合和消费,不足以支撑关键基础设施的防护。为此,提出智能基础设施解决方案,希望协助城市、行业、大型企业建立智能分析生产能力和共享标准,并提供运营支持,促进国家、城市智能共享生态圈的形成。和行业,提高网络弹性以应对数字时代的新威胁和重大挑战。其次,鉴于国内大部分场景仅限于检测IP、域名、URL、HASH等战术情报,360政企安全组提出了智能情报的概念,希望能够让市场了解情报,不仅让检测更及时,还能让运营更高效、决策更智能,并相应提供更丰富的情报种类;同时,更多的精力投入到情报中提供全面的上下文信息,让情报消费者更好地了解威胁。详细的可见性支持有关警报排序和事件处理的操作决策。结合上述解决方案产生的关联威胁情报,不仅可以对攻击者进行定性追踪;利用威胁情报构建的攻击知识库还可以实现对APT攻击的攻击意图智能推理和样本变体自动跟踪。在信息共享和应急响应背景下,威胁情报反映的互联网安全态势有助于预测后续可能出现的安全风险,更快地响应网络威胁,有效建立“预防、防御、恢复”、适应”网络弹性。这个过程让360政企安全组发现了CIA、OceanLotus、MahaGrass、Mermaid等40多个海外APT组织。以“看”到网络攻击威胁的能力,严守国家第一道网络安全防线。值得一提的是,从目前国内推进情报共享的进展来看,已经落实的相关措施与这一代中国网络安全从业者的期望相比,还远远不够;从太空战略的价值来看,为了应对数字时代更有组织、更专业的网络犯罪团伙,情报共享的投入也亟待提高。唯有有效建立国家、行业、城市不同层级的信息共享机制体系,才能进一步形成足够纵深、高韧性的安全保障能力,为中国在数字时代的腾飞保驾护航。
